TIM ..vivere senza privacy

Pubblicato il 14 luglio 2007 da guelfoweb
Tre giorni fa Federica Toscano, insospettita dalla gravita’ del problema, mi segnala via email una vulnerabilita’ XSS sul portale TIM. Attraverso la pagina incriminata (classico errore di mancata validazione degli input nel campo di ricerca) un attacker poteva facilmente impossessarsi dei cookie della sua vittima e accedere comodamente ai suoi dati personali (numero di telefono, email, credito, bonus, etc.).

Qui il Full Disclosure su Seclist

Per accedere alla pagina dei dati personali “Self Service” – chi e’ registrato su Tim.it conosce benissimo questa sezione – bastava inviare una richiesta Get con i cookie della vittima.

https://www.tim.it/119/cruscotto/descrizioneservizi/wp.do

Host: www.tim.it
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.4)
Gecko/20061201 Firefox/2.0.0.4 (Ubuntu-feisty)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9
,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: it-it,it;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: insert cookie victim

Ora la pagina vulnerabile non esiste piu’, e’ stata rimpiazzata con quest’altra pagina al momento non disponibile e’ nuovamente disponibile, questa volta pero’ diffida degli input degli utenti.

E’ buffo vedere come una vulnerabilita’ apparentemente banale possa mettere a serio rischio la privacy e le informazioni riservate degli utenti, ma e’ ancora piu buffo notare come alcuni provider sorvolano sull’argomento anche dopo aver esposto pubblicamente i rischi che incorrono, vedi Nduja (PoC) di Rosario Vallottaqui il video.

Non mancano di certo altri casi eclatanti, Matteo Carli sta indagndo su alcuni servizi insoliti, ieri ho visto in anteprima un video dimostrativo davvero interessante.

Per concludere e’ corretto citare la segnalazione di zogs (risale a circa 1 mese fa) di una vulnerabilita’ su Blogosfere, immediatamente risolta.

Technorati tags: , ,

Questa voce è stata pubblicata in Uncategorized. Contrassegna il permalink.

0 risposte a TIM ..vivere senza privacy

  1. Devid Antonio Filoni scrive:
    15 luglio 2007 alle 22:11

    Gianni, in Italia, i maggiori motori di ricerca, provider, ecc… non prestano attenzione a queste tipo di vulnerabilità ma pretendono il rispetto di tutti e lo ottengono facendo finta che queste vulnerabilità non esistono. Se la gente sapesse che Tiscali o il sito dei carabinieri o in questo caso il sito della Tim sono pieni di bug che possono compromettere la loro sicurezza non credi che eviterebbero anche di visitarli? Personalmente ritengo che l’unica cosa che si possa fare al momento è avvertire tutti della presenza di queste vulnerabilità e in questo tu, stai facendo un ottimo lavoro. In Tiscali mappe c’è un bug (anzi uno per ogni campo cioè 3) che ho segnalato a Tiscali ad Aprile, non sono stati ancora corretti. Questo è solo una delle vicende capitate e che capiteranno a noi italiani e non credo che si possa fare qualcosa per evitarle.

  2. Gianni Amato scrive:
    17 luglio 2007 alle 00:38

    Che questo genere di vulnerabilita’ affligge gran parte dei portali italiani e’ ormai un dato di fatto. E’ sconvolgente come nessuno riesca a capire e prendere atto della gravita’ del problema. ..e al massimo risolvono il problema segnalato (dipende sempre da Chi, Cosa e Come lo segnala) inutile perdere tempo ad eseminare il resto del codice, è tempo sprecato.